Groot-Brittannië en de GDPR in 2021

Edgard Rebovek -

Wanneer Groot-Brittannië op 1 januari 2021 wegzeilt over de horizon naar zijn nieuwe ‘Rule Britannia’-soevereiniteit, worden ook de GDPR-bakens verzet.

Vanaf die dag is Groot-Brittannië immers geen veilig mede-Europaland meer, waar we in alle gemoedsrust onze persoonsgegevens naartoe konden  sturen.

Dankzij brexit, en in afwachting van de nodige overeenkomsten, valt dat land terug tot dezelfde status als de Verenigde Staten. Voor geen van beide landen heeft de EU beslist dat er een adequaat niveau van databescherming is (1).

Voor de VS is dat het gevolg van de vernietiging van de Safe Harbor- en Privacy Shield-initiatieven, terwijl met Groot Brittannië nog geen afspraken zijn gemaakt op dit moment.

De GDPR blijft van kracht

De GDPR blijft overigens wel van kracht voor alle Britse bedrijven die activiteiten ontplooien naar inwoners van de EU. Zij moeten dus behoedzaam omgaan met persoonsgegevens van die inwoners.

Voor EU-bedrijven is het nu een uitdaging om zeker te zijn dat Britse bedrijven met wie ze persoonsgegevens willen uitwisselen, ook echt die behoedzaamheid aan de dag leggen.

De GDPR biedt hierover uitsluitsel in artikels 44 en volgende, inzake ‘doorgiften van persoonsgegevens aan derde landen’. Hiertoe kunnen EU bedrijven de nodige clausules(2) opnemen in hun contracten met Britse bedrijven, zodat er voldoende waarborgen zijn.

EU-bedrijven moeten tevens maatregelen nemen om er zeker van te zijn dat die waarborgen ook echt worden nageleefd.

Ook zijn ‘bindende bedrijfsvoorschriften’ mogelijk voor de uitwisseling van persoonsgegevens tussen vestigingen binnen en buiten de EU die tot eenzelfde concern behoren. Ook een goedgekeurde gedragscode, of een goedgekeurd certificeringsmechanisme kunnen volstaan.

Brexit in de praktijk

Hoe brexit concreet uitpakt, valt nog te bezien. Hoe kort we ook bij het einde van de overgangsperiode staan, er blijven nog heel wat vragen onbeantwoord.

Wie zich wil indekken tegen GDPR-perikelen, doet er dan ook allicht goed aan om toch even bij een specialist terzake aan te kloppen.

Foto: Call Me Fred via Unsplash

(1) Het lijstje van landen waarover de EU een adequaatheidsbesluit heeft genomen, omvat: Andorra, Argentinië, Canada (commerciële bedrijven), Faeröer Eilanden, Guernsey, Israël, het eiland Man, Japan, Jersey, Nieuw-Zeeland, Uruguay en Zwitserland.

(2) De EU publiceert voorbeelden van geschikte clausules (o.a. ‘modelcontractbepalingen’). 

Categories: Achtergrond
Tags:

Related Posts

surveillance fence
Achtergrond

Eén jaar GDPR: waar staat België?

In de aanloop naar 25 mei 2018 werd door heel wat bedrijven in overdrive gewerkt om tegen die datum de nieuwe Europese privacy-wetgeving – de GDPR – in de praktijk na te leven. Vandaag behoort iedereen te beseffen dat die inspanningen niet mogen verslappen.

De GDPR is geen pestwet
Achtergrond

Waarom de GDPR geen pestwet is

Puft en kucht u net zoals vele anderen onder de druk om tegen 25 mei 2018 conform de nieuwe Europese privacywet te zijn? Toch is de GDPR geen pestwet. We leggen u uit waarom.